Haberler 
Coin Bilgisi 
Hakkımızda 
탈merkez kimlik projesi Humanity Protocol(Humanity Protocol), yaklaşık 36 milyon dolar (yaklaşık 54,82 milyar won) değerindeki H token saldırısının nedenini açıkladı. Projenin ifadesine göre sorun, ‘çoklu imza cüzdanı’ (multisig) yönetimi sırasında yapılan kritik bir ‘anahtar yönetimi’ hatasından kaynaklandı.
Humanity Protocol ekibi, saldırının bir çalışanın dizüstü bilgisayarının kötü niyetli aktörlerce ele geçirilmesiyle başladığını belirtti. Bu cihazda, token köprüsünü (bridge) kontrol eden birden fazla özel anahtar saklanıyordu.
Blokzincirler arası token transferini yöneten köprüler, normalde çoklu imza cüzdanlarıyla çalışıyor ve birden fazla onay gerektiriyor. Multisig yapısında anahtarlar farklı kişi ve cihazlara dağıtılarak tek bir hata noktasının sistemi çökertmesi engellenmeye çalışılıyor.
Ancak bu olayda, tüm anahtarların ‘tek bir cihazda’ tutulması bu yapının amacını tamamen ‘geçersiz’ hale getirdi. Saldırgan, sadece bir bilgisayarı ele geçirerek gerekli imza koşullarını karşılayabildi ve köprü üzerindeki kontrolü ele aldı.
Saldırgan ilk olarak Ethereum(ETH) ağında harekete geçti. Humanity Protocol’ün açıklamasına göre, köprü yönetim hesabına ait 6 anahtardan 3’ü ele geçirildi. Bu sayı, köprünün kontrol yetkisini devralmak için yeterliydi. Ardından köprünün sahipliği saldırganın kendi cüzdanına geçirildi ve sözleşme kodu ‘kötü amaçlı’ bir sürümle değiştirildi.
Bu hamleyle tek bir işlemde yaklaşık 141 milyon adet H token köprüden çekildi.
Benzer bir süreç BNB Chain(BNB) tarafında da yaşandı. Bu kez 5 anahtardan 3’üne erişim sağlandı ve saldırgan, sınırsız token basımına izin veren bir kod ekledi. Bu sayede yaklaşık 200 milyon adet yeni H token üretildi ve saldırganın cüzdanına aktarıldı.
Humanity Protocol kurucusu Terence Kwok(Terence Kwok), multisig yapının teoride ‘4 kişiye dağıtılmış’ şekilde tasarlandığını söyledi. Ancak ‘kurulum sürecinde’ bazı anahtarların ele geçirilen cihaza yedeklenmiş olabileceğini belirtti.
Bu durumun, pratikte anahtarların tek bir noktada toplanmasına yol açtığını ve ‘temel güvenlik ilkesi’ olan anahtar dağıtımının fiilen bozulduğunu kabul etti.
Projeye göre, H token varlıklarının büyük kısmı harici bir saklama (custody) hizmeti üzerinden, operasyonel fonlar ise MPC (çok taraflı hesaplama) yöntemiyle yönetiliyordu. Buna rağmen, bazı akıllı sözleşmelerde aynı güvenlik standartlarının ‘tutarlı biçimde’ uygulanmadığı anlaşılıyor.
Zincir üstü analiz uzmanı ZachXBT(ZachXBT), bu anahtar hırsızlığı vakasından bağımsız olarak, saldırıdan önce piyasada görülen ‘olağandışı likidite hareketleri’ne dikkat çekti.
Özellikle büyük bir token kilit açılımı (unlock) öncesinde, H token fiyatının 2 hafta içinde 0,20 dolardan 0,70 dolara kadar ‘hızla tırmanmasını’ sorguladı. Yine de ZachXBT, bu fiyat hareketleri ile gerçekleşen saldırı arasında ‘doğrudan bir bağlantı’ kurmak için yeterli kanıt olmadığını vurguladı.
Şu anda Humanity Protocol, söz konusu köprüdeki para yatırma ve çekme işlemlerini durdurmuş durumda. Proje ekibi, borsalar ve kolluk kuvvetleriyle iş birliği yaparak çalınan varlıkların izini sürmeye ve ‘fon kurtarma’ girişimlerine odaklanıyor.
Ayrıca proje web sitesindeki ekip (team) sayfasının da kaldırıldığı görülüyor.
Fiyat cephesinde ise saldırı anında yaklaşık 0,05 dolara gerileyen H token, şu anda 0,20 dolar seviyelerine kadar ‘kısmen toparlanmış’ durumda. Ancak bu seviye, saldırı öncesi görülen yaklaşık 0,67 dolarlık fiyatın hala oldukça uzağında.
Bu olay, çoklu imza yapısının ‘tek başına’ güvenlik garantisi sağlamadığını bir kez daha gösterdi. ‘Anahtar dağıtımı’ ve ‘operasyonel uygulama’ prensipleri doğru şekilde hayata geçirilmediğinde, en gelişmiş multisig ve MPC yapıları bile ‘tekil bir hata noktasına’ dönüşebiliyor. Saldırı, kripto piyasasına, güvenlik mimarisinden çok ‘günlük operasyon pratiğinin’ asıl risk belirleyicisi olduğunu yeniden hatırlatmış oldu.
Yorum 0